Ensemble, on est plus forts : l’approche collaborative d’Axis en matière de cybersécurité

À mesure que les cybermenaces deviennent de plus en plus sophistiquées, notre approche pour y remédier gagne également en sophistication. « La sécurité fait partie intégrante de tout ce que nous faisons, du développement technologique à nos opérations quotidiennes », déclare Jonas Falk, directeur de la cybersécurité chez Axis. Axis Software Security Group (SSG), une équipe centrale de cinq ingénieurs en sécurité travaillant dans l’organisation R&D, dirige l’effort de cybersécurité. Ils ont développé l’Axis Security Development Model (ASDM), un cadre qui définit le processus et les outils que nous utilisons pour construire des logiciels offrant une sécurité intégrée tout au long du cycle de vie, de la création à la mise hors service.

Mais cinq personnes peuvent-elles gérer seules la cybersécurité d’une grande organisation comme Axis ? Absolument pas, raison pour laquelle l’équipe a mis en place un réseau unique de « satellites » - quelque 75 personnes agissant en tant que relais du SSG dans toute l’entreprise. Au lieu d’aborder le travail de sécurité eux-mêmes à partir d’une position centralisée, l’équipe SSG coache et responsabilise les ingénieurs logiciels satellites pour qu’ils prennent les rênes et comprennent comment effectuer le travail eux-mêmes et coachent, à leur tour, leurs équipes. En devenant un satellite, vous améliorez non seulement vos compétences et vos connaissances, mais jouez également un rôle essentiel dans le développement de solutions de cybersécurité innovantes. 

Pour approfondir un peu plus le fonctionnement de cette configuration, nous avons discuté avec trois membres de l’équipe SSG : Eva Haslum travaille chez Axis depuis 2012, d’abord en tant que développeuse logicielle et satellite, puis dans sa fonction actuelle d’ingénieure en sécurité logicielle au sein de l’équipe, qu’elle occupe depuis 2023. Lisa Eneroth a également été développeuse logicielle et satellite pendant trois ans et demi, avant de rejoindre l’équipe SSG en 2022. Enfin, Tara Hassani, ingénieure en sécurité logicielle, a rejoint Axis et SSG en 2022, juste après avoir décroché son master en informatique.

Lisa explique comment on devient satellite : « Tout commence par l’identification du besoin d’un satellite au sein du département R&D. Le responsable R&D propose alors l’un des ingénieurs logiciels qui, de son avis, conviendrait bien à la fonction. » Eva ajoute : « Bien sûr, si la sécurité vous intéresse, vous pouvez aussi postuler. Nul besoin d’être un expert en sécurité ; nous vous coachons et vous apportons notre soutien en la matière ; il suffit d’être curieux et d’apprécier collaborer et enseigner aux autres. » Bien que tout ingénieur logiciel puisse devenir satellite, le nombre de femmes rejoignant le réseau a connu une augmentation notable et encourageante. Eva spécule pourquoi : « L’équipe SSG est presque entièrement féminine, ce qui inspire peut-être d’autres femmes à rejoindre l’équipe. »

Une fois dans le rôle de satellite, vous divisez généralement votre temps, en consacrant environ 80 % à des tâches habituelles et 20 % à des responsabilités en matière de cybersécurité. Le SSG organise des ateliers initiaux et des sessions de coaching avec le satellite et son équipe. Au fur et à mesure de la progression des compétences du satellite, l’équipe SSG commence à prendre du recul, permettant au satellite de diriger le travail, tout en continuant à bénéficier d’un soutien. Le réseau de satellites intervient comme système de soutien et moyen de faciliter le partage de connaissances et les meilleures pratiques. Bien que les satellites contribuent à rendre nos produits plus sûrs, Lisa souligne un point important : « Les satellites ne sont pas responsables de la sécurité des produits finaux – le supérieur hiérarchique de l’organisation R&D a toujours la responsabilité ultime et finale en cas de problème. » 

Eva nous raconte ce qu’elle a aimé dans son rôle de satellite et dans son rôle actuel : « C’est un excellent moyen d’apprendre à connaître l’ensemble de l’organisation et de travailler avec des personnes de tous les départements et marchés. Ensuite, en tant que membre du SSG, vous acquérez une compréhension réellement approfondie du portefeuille Axis – probablement supérieure à celle de la plupart des personnes de l’organisation. » Lisa explique que lorsqu’elle était satellite, elle aspirait toujours à se charger des tâches de sécurité, si bien qu’elle a finalement décidé de passer à un travail de sécurité à temps plein : « C’est un travail très gratifiant. On peut tantôt être enseignant, tantôt résolveur de problèmes, et on peut voir les produits évoluer. »

Les avantages d’une approche décentralisée et collaborative de la cybersécurité sont nombreux. « Cela se traduit par une qualité nettement plus élevée du travail de sécurité, car il est développé et mis en œuvre par des personnes qui connaissent réellement les produits et les risques associés », explique Lisa. Lisa, Tara et Eva conviennent également que cette méthode de travail s’inscrit dans la culture d’entreprise d’Axis, où nous nous engageons à résoudre les problèmes ensemble et à nous responsabiliser mutuellement.